炬光服务公司 SMBC 欧洲、中东和非洲地区运营风险主管 Sam Lee 的特邀文章
终端用户计算是指除了软件工程师通常遵循的设计、构建、测试和发布的分工开发流程外,用户还能创建工作应用程序的系统。Microsoft Excel 可能是最著名的 EUC 平台实例之一。
因此,EUC 风险是指电子表格等关键 EUC 业务文档可能出现的错误。电子数据中心的灵活性可能导致这些重要的公司文件出错。鉴于电子数据中心生成的数据被管理层和其他终端用户普遍接受和依赖,这可能很快导致数据错误,进而增加财务和声誉损失的风险。
为什么 EUC 风险很重要?
虽然 EUC 风险具有普遍性,但它并不像其他一些企业风险(如运营、财务和监管风险或其子类别)那样广为人知,甚至可能没有得到认可。"人们经常会问 "为什么我需要关注 EUC 风险?原因有两个。
最重要的是,EUC 风险存在于任何依赖电子表格、数据库和其他 IT 应用程序周期之外的 "人造 "计算工具的组织中。风险程度取决于企业的风险管理框架,但企业不可能不使用上述应用程序。
其次,EUC 风险会导致一系列其他运营、监管和行为风险。企业内部控制风险与其他风险之间有很大的相互关联性,所有这些风险累积起来就会形成企业风险。下图清楚地说明了这一点。
因此,如果有任何组织 认为,EUC 风险在某种形式上与其无关,那么就应该对 其提出质疑 。当务之急是,各组织必须理解欧盟风险的含义。
好消息是,管理和控制终端用户计算风险是可能的,尽管它从根本上存在于整个组织中。那么,从哪里开始才是合理的呢?
终端用户计算风险是一个经常被低估的威胁,来自终端用户计算的数据为关键业务决策和报告提供了基础。以下是一些管理终端用户计算风险的高招:
了解贵组织的 EUC 群体--所使用的 EUC 应用程序类型;每种类型的数量;以及不同文件的复杂程度或固有风险--即哪些文件编码繁多、使用宏、依赖与其他电子表格和数据库的连接等。
确定 EUC 对业务的 "关键性"。必须根据这些文件丢失或在不知情的情况下被损坏或篡改后对业务造成的定量(美元损失)和定性(声誉风险、客户风险、监管制裁、业务功能损失)影响来评估关键性。例如,评估如果重要电子表格应用程序的创建者离开组织,会给企业带来多大的损失?团队中的其他成员是否对应用程序的工作方式和维护需求有深入的了解?如果无意或恶意更改应用程序中的任何代码或宏,他们能否测试应用程序的完整性?
设计一项政策 建立电子数据中心清单的政策,包括各种风险级别的定义,以及必须根据文件的重要程度实施的相关控制措施。此外,政策还必须包括根据关键性分类记录、测试和维护 EUC 清单的规则。显然,关键性越高,规则就越严格,政策就越严厉。
创建重要 EUC 的热图,并使用关键风险指标显示拖欠的 EUC 所在位置。这将有助于组织采取纠正措施。
重点关注最关键的 EUC,了解其使用情况,并将其与组织风险库中确定的潜在更广泛风险进行映射。例如,评估电子表格应用程序是否会影响内部欺诈、财务报告等其他风险、 数据管理等。
由于大多数组织使用电子表格和 EUC 的程度不同,手动执行这种端到端和细粒度的方法几乎是不可能的。不仅难以全面识别和清点 EUC,要确定关键电子表格对其他企业风险的相互联系和相应影响也具有挑战性。
此外,几乎不可能通过手动方式有效跟踪代码、宏等的变更,无论这些变更是有意的、善意的,还是其他原因造成的。采用能够自动发现、盘点、执行策略、控制和全面管理 EUC 的技术,是最具成本效益和最安全的方法。
